信安標(biāo)委發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類(lèi)分級(jí)指引》
2021年12月31號(hào),全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書(shū)處發(fā)布了《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類(lèi)分級(jí)指引》,給出了網(wǎng)絡(luò)數(shù)據(jù)分類(lèi)分級(jí)的原則、框架和方法。
導(dǎo) 讀
《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類(lèi)分級(jí)指引》(以下簡(jiǎn)稱(chēng)《實(shí)踐指南》)依據(jù)法律法規(guī)和政策標(biāo)準(zhǔn)要求,給出了網(wǎng)絡(luò)數(shù)據(jù)分類(lèi)分級(jí)的原則、框架和方法,可用于指導(dǎo)數(shù)據(jù)處理者開(kāi)展數(shù)據(jù)分類(lèi)分級(jí)工作,也可為主管監(jiān)管部門(mén)進(jìn)行數(shù)據(jù)分類(lèi)分級(jí)管理提供參考。
《實(shí)踐指南》包含正文及3個(gè)附錄:
- 正文分為范圍、術(shù)語(yǔ)定義、數(shù)據(jù)分類(lèi)分級(jí)原則、數(shù)據(jù)分類(lèi)分級(jí)框架、數(shù)據(jù)分類(lèi)方法、數(shù)據(jù)分級(jí)方法、數(shù)據(jù)分類(lèi)分級(jí)實(shí)施流程;
- 附錄分為組織經(jīng)營(yíng)維度數(shù)據(jù)分類(lèi)參考示例、敏感個(gè)人信息分類(lèi)示例、部分行業(yè)數(shù)據(jù)分類(lèi)分級(jí)參考示例。
《實(shí)踐指南》提出,數(shù)據(jù)分類(lèi)分級(jí)原則包括:
- 合法合規(guī)原則;
- 分類(lèi)多維原則;
- 分級(jí)明確原則;
- 從高就嚴(yán)原則;
- 動(dòng)態(tài)調(diào)整原則。
數(shù)據(jù)分類(lèi)分級(jí)框架中,《實(shí)踐指南》提出:
- 常見(jiàn)的數(shù)據(jù)分類(lèi)維度包括公民個(gè)人維度、公共管理維度、信息傳播維度、組織經(jīng)營(yíng)維度、行業(yè)領(lǐng)域維度;
- 從國(guó)家數(shù)據(jù)安全角度可將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)共三個(gè)級(jí)別;
- 建議數(shù)據(jù)處理者優(yōu)先按照基本框架進(jìn)行定級(jí),在基本框架定級(jí)的基礎(chǔ)上也可結(jié)合行業(yè)數(shù)據(jù)分類(lèi)分級(jí)規(guī)則或組織生產(chǎn)經(jīng)營(yíng)需求,對(duì)一般數(shù)據(jù)進(jìn)行細(xì)化分級(jí)。
《實(shí)踐指南》提出,數(shù)據(jù)分類(lèi)分級(jí)實(shí)施流程包括:
- 數(shù)據(jù)資產(chǎn)梳理;
- 數(shù)據(jù)分類(lèi);
- 數(shù)據(jù)定級(jí);
- 審核標(biāo)識(shí)管理;
- 數(shù)據(jù)分類(lèi)分級(jí)保護(hù)。
其中數(shù)據(jù)分類(lèi)流程包括:
- 識(shí)別是否存在法律法規(guī)或主管監(jiān)管部門(mén)有專(zhuān)門(mén)管理要求的數(shù)據(jù)類(lèi)別,并對(duì)識(shí)別的數(shù)據(jù)類(lèi)別進(jìn)行區(qū)分標(biāo)識(shí);
- 從行業(yè)領(lǐng)域維度,確定待分類(lèi)數(shù)據(jù)的數(shù)據(jù)處理活動(dòng)涉及的行業(yè)領(lǐng)域;
- 完成上述數(shù)據(jù)分類(lèi)后,數(shù)據(jù)處理者可采用線(xiàn)分類(lèi)法對(duì)類(lèi)別進(jìn)一步細(xì)分。
數(shù)據(jù)定級(jí)流程包括:
- 按照國(guó)家和行業(yè)領(lǐng)域的核心數(shù)據(jù)目錄、重要數(shù)據(jù)目錄,依次判定是否核心數(shù)據(jù)、重要數(shù)據(jù),如是則按照就高從嚴(yán)原則定為核心數(shù)據(jù)級(jí)、重要數(shù)據(jù)級(jí),其他數(shù)據(jù)定為一般數(shù)據(jù);
- 國(guó)家和行業(yè)核心數(shù)據(jù)、重要數(shù)據(jù)目錄不明確時(shí),可參考核心數(shù)據(jù)、重要數(shù)據(jù)認(rèn)定的規(guī)定或標(biāo)準(zhǔn),分析數(shù)據(jù)一旦遭到篡改、破壞、泄露或者非法獲取、非法利用的危害對(duì)象和危害程度;
- 按照一般數(shù)據(jù)分級(jí)規(guī)則或者所屬行業(yè)共識(shí)的數(shù)據(jù)分級(jí)規(guī)則對(duì)一般數(shù)據(jù)進(jìn)行定級(jí),確定一般數(shù)據(jù)細(xì)分級(jí)別;
- 如果數(shù)據(jù)屬于個(gè)人信息,應(yīng)識(shí)別敏感個(gè)人信息、一般個(gè)人信息,對(duì)個(gè)人信息進(jìn)行定級(jí)。
關(guān)于發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類(lèi)分級(jí)指引》的通知
各有關(guān)單位:
為貫徹落實(shí)《數(shù)據(jù)安全法》提出的“國(guó)家建立數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度”要求,指導(dǎo)數(shù)據(jù)處理者開(kāi)展數(shù)據(jù)分類(lèi)分級(jí)工作,秘書(shū)處組織編制了《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類(lèi)分級(jí)指引》。
本《實(shí)踐指南》依據(jù)法律法規(guī)和政策標(biāo)準(zhǔn)相關(guān)要求,給出了網(wǎng)絡(luò)數(shù)據(jù)分類(lèi)分級(jí)的原則、框架和方法。全文請(qǐng)點(diǎn)擊附件下載。
全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書(shū)處
2021年12月31日
附件:《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類(lèi)分級(jí)指引》
(來(lái)源:信安標(biāo)委等)
